Cos’è il data breach
L’espressione data breach indica una violazione dei dati personali rilevante per il GDPR (Regolamento UE 2016/689: cfr. artt. 33-34); più tecnicamente, è una tipologia di incidente di sicurezza (informatica, generalmente) che coinvolge dati personali.
In caso di violazione della sicurezza di un’azienda, i dati personali (e non solo personali) possono essere divulgati, copiati, rubati e utilizzati da soggetti non autorizzati. Solitamente il data breach si concretizza in un ambiente privo di misure di sicurezze adeguate e idonee, e può essere frutto di un’azione volontaria o involontaria.
In letteratura esistono diverse tipologie di incidente riguardanti dati personali e dati aziendali in genere. Qui di seguito elenchiamo i più rilevanti:
- perdita di dati: ad esempio, data breach causato da smarrimento di una chiavetta USB contenente dati riservati o dalla cancellazione involontaria e irreparabile di dati personali;
- furto di dati: ad esempio, data breach causato dalla sottrazione di un notebook contenente dati confidenziali o perpetrato a seguito di un accesso illecito a sistema informatico;
- indisponibilità dei dati: ad esempio, a seguito di esecuzione di un ransomware, ovvero di un tipo di malware che limita l’accesso ai dati salvati su server o client, cifrandoli;
- alterazione dei dati: ad esempio, quando un dipendente infedele modifica deliberatamente e senza autorizzazione dati personali (e non solo) con l’obiettivo di cagionare un danno all’azienda;
- divulgazione dei dati: quando ad esempio un hacker, mediante accesso abusivo al sistema informatico dell’azienda, accede a dati personali con successiva divulgazione delle informazioni fraudolentemente acquisite.
Esempi di violazioni dei dati personali
Le violazioni di dati personali possono interessare, ovviamente, diversi settori, con una diversa incidenza sui rischi per gli interessati:
- Settore finanziario e bancario: violazione di dati relativi a carte di credito e conti correnti;
- Settore sanitario: violazione di dati relativi alla salute, esami diagnostici, cartelle cliniche;
- Settore industriale: violazione di segreti commerciali, brevetti, documentazione riservata, lista clienti, con l’intento di mettere in pratica atti di concorrenza sleale.
Cosa fare in caso di data breach
In caso di incidente di sicurezza è buona norma che vi sia una procedura prestabilita sulle azioni da intraprendere da parte del personale incaricato e dei responsabili. Ecco le 5 fasi da seguire per una corretta gestione del data beach:
1. Rilevazione della natura e dell’entità della violazione
Il titolare del trattamento dovrà essere dotato di strumenti atti a rilevare in tempi rapidi una violazione della sicurezza, come ad esempio sistemi di intrusion detection per gli attacchi provenienti dall’esterno del perimetro aziendale (anche se sappiamo che gli attacchi più pericolosi partono dall’interno dell’organizzazione).
Questo passo è importante per procedere ad una corretta valutazione dell’impatto della violazione.
2. Valutare portata e impatto della violazione
In caso di accertata violazione dei dati è importante stimare il numero di dati e di soggetti interessati dal data breach, determinare la tipologia dei dati personali che sono stati violati e verificare le misure di sicurezza in atto per impedire o limitare gli effetti della violazione.
Poiché le violazioni dei dati personali devono essere segnalate all’Autorità entro 72 ore, questa fase deve essere prioritaria e deve svolgere in modo completo in tempi rapidi, affinché il titolare del trattamento abbia informazioni sufficienti per valutare se notificare o meno la violazione all’Autorità di controllo (Garante privacy).
3. Notificare la violazione al Garante per la protezione dei Dati Personali
Qualora rientri nel perimetro di competenza del responsabile del trattamento ex art. 28 GDPR, questi è tenuto, nel momento in cui viene a conoscenza di una violazione dei dati, ad informare tempestivamente il titolare del trattamento, in modo che quest’ultimo possa attivarsi secondo quanto previsto dal GDPR.
Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
4. Comunicare la violazione agli interessati
Se il rischio per i diritti e le libertà degli interessati è elevato, anche gli interessati devono essere informati.
La comunicazione deve descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali, con indicazione delle probabili conseguenze della violazione e delle misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione o per attenuarne i possibili effetti negativi. Va altresì indicato il nome e i dati di contatto del Responsabile della protezione dei dati (se presente) o di altro punto di contatto presso cui ottenere maggiori informazioni.
5. Analisi approfondita, contenimento
Parallelamente, è importante che il gruppo responsabile di gestire l’incidente prosegua e approfondisca l’analisi della violazione subìta con l’obiettivo di attuare tutte le misure possibili per ridurre il rischio e contenere gli effetti negativi del data breach, evitando ulteriori possibili violazioni derivanti dalle medesime vulnerabilità riscontrate o dai medesimi errori, continuando a perfezionare la stima del numero di interessati e della natura dei dati personali coinvolti.
Riesaminare e monitorare
Una volta che la violazione dei dati personali è stata contenuta, il titolare del trattamento deve condurre regolarmente un riesame delle misure in atto ed esplorare i possibili modi in cui queste misure possano essere rafforzate (e/o migliorate) per evitare che una simile violazione si ripresenti. Tutte le misure individuate devono essere monitorate per garantire che siano implementate in modo soddisfacente.
Come prevenire il data breach
La prevenzione del data breach passa attraverso la periodica valutazione dei rischi e la definizione, nel corso del tempo, di adeguate misure di tipo tecnologico, fisico e organizzativo all’interno dell’azienda.
Per queste attività ci vengono incontro gli standard ISO/IEC 27001 e ISO/IEC 27040, che riguardano i requisiti di sicurezza e qualità dei sistemi di gestione della sicurezza informatica (information security management systems) e del sistema di storage security.
In particolare, questi standard di conformità forniscono linee guida importanti in tema sicurezza e qualità del dato e dei sistemi informativi, definendo tipologie di minacce, vulnerabilità e controlli associati a scenari architetturali e di archiviazione tipici, oltre a riferimenti agli standard internazionali su pratiche applicabili alla sicurezza.
La norma ISO/IEC 27001 e la norma ISO/IEC 27040 definiscono inoltre le misure aziendali necessarie per gestire i rischi legati al trattamento e alla protezione dei dati: standards che possono dunque integrare e in parte attuare quanto stabilito all’articolo 32 del GDPR.
È bene ricordare, in ogni caso, che nella pratica non esiste la sicurezza al 100% e non è possibile prevenire in assoluto qualunque violazione di dati personali, ma una buona programmazione dei flussi di gestione delle attività e delle procedure di intervento possono sicuramente ridurre i rischi e, certamente, mitigare gli effetti di eventuali incidenti. Tutto questo, va da sé, anche nell’interesse della stessa azienda, della sua immagine e della sua competitività sul mercato.
